Куда я попал?
Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024
Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"
Таблица 7. Состав мер защиты информации, применяемый к процессу аутентификации при применении отдельный аутентификаторов
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
1.1. Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.2. Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.3. Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.4. Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.5. Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.6. Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.7. Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.8. Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.1. Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.2. Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.3. Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.4. Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.5. Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.6. Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.2. Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практикамиОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
3.4. Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов* и векторов биометрических параметров
----------
* - Биометрические образцы, хранимые для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных.Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.5. Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечениемОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.2. Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
4.3. Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передачеОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.4. Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.5. Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.6. Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.7. Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакамОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.8. Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.9. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.10. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.11. В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведениеОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.1. Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.2. Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.3. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароляОбязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
5.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
6.1. Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторовОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.2. Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.3. Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.